Melhores práticas do Azure para segurança de redeAzure best practices for network security

Este artigo discute uma coleção de boas práticas da Azure para aumentar a segurança da sua rede.This article discusses a collection of Azure best practices to enhance your network security. Estas boas práticas derivam da nossa experiência com o networking da Azure e as experiências de clientes como você.These best practices are derived from our experience with Azure networking and the experiences of customers like yourself.

Para cada das melhores práticas, este artigo explica:For each best practice, this article explains:

  • Qual é a melhor práticaWhat the best practice is
  • Por que quer permitir a melhor práticaWhy you want to enable that best practice
  • Qual pode ser o resultado se não conseguires permitir as melhores práticasWhat might be the result if you fail to enable the best practice
  • Possíveis alternativas às melhores práticasPossible alternatives to the best practice
  • Como pode aprender a permitir as melhores práticasHow you can learn to enable the best practice

Estas boas práticas baseiam-se numa opinião consensual, e as capacidades da plataforma Azure e os conjuntos de recursos, tal como existem no momento em que este artigo foi escrito.These best practices are based on a consensus opinion, and Azure platform capabilities and feature sets, as they exist at the time this article was written. As opiniões e as tecnologias mudam ao longo do tempo e este artigo será atualizado regularmente para refletir essas alterações.Opinions and technologies change over time and this article will be updated on a regular basis to reflect those changes.

Utilize controlos de rede fortesUse strong network controls

Pode ligar máquinas virtuais Azure (VMs) e aparelhos a outros dispositivos em rede, colocando-os em redes virtuais Azure.You can connect Azure virtual machines (VMs) and appliances to other networked devices by placing them on Azure virtual networks. Ou seja, pode ligar cartões de interface de rede virtual a uma rede virtual para permitir comunicações baseadas em TCP/IP entre dispositivos ativados em rede.That is, you can connect virtual network interface cards to a virtual network to allow TCP/IP-based communications between network-enabled devices. Máquinas virtuais ligadas a uma rede virtual Azure podem ligar-se a dispositivos na mesma rede virtual, diferentes redes virtuais, internet ou redes próprias no local.Virtual machines connected to an Azure virtual network can connect to devices on the same virtual network, different virtual networks, the internet, or your own on-premises networks.

Ao planear a sua rede e a segurança da sua rede, recomendamos que centralize:As you plan your network and the security of your network, we recommend that you centralize:

  • Gestão de funções de rede core como ExpressRoute, fornecimento de rede virtual e sub-rede, e endereçamento IP.Management of core network functions like ExpressRoute, virtual network and subnet provisioning, and IP addressing.
  • Governação de elementos de segurança da rede, tais como funções de aparelho virtual de rede como ExpressRoute, fornecimento de rede virtual e sub-rede, e endereçamento IP.Governance of network security elements, such as network virtual appliance functions like ExpressRoute, virtual network and subnet provisioning, and IP addressing.

Se utilizar um conjunto comum de ferramentas de gestão para monitorizar a sua rede e a segurança da sua rede, obtém uma visibilidade clara em ambos.If you use a common set of management tools to monitor your network and the security of your network, you get clear visibility into both. Uma estratégia de segurança simples e unificada reduz os erros porque aumenta a compreensão humana e a fiabilidade da automação.A straightforward, unified security strategy reduces errors because it increases human understanding and the reliability of automation.

Subesí redes de segmento logicamenteLogically segment subnets

As redes virtuais Azure são semelhantes às DEN na sua rede no local.Azure virtual networks are similar to LANs on your on-premises network. A ideia por trás de uma rede virtual Azure é que você cria uma rede, baseada num único espaço de endereço IP privado, no qual você pode colocar todas as suas máquinas virtuais Azure.The idea behind an Azure virtual network is that you create a network, based on a single private IP address space, on which you can place all your Azure virtual machines. Os espaços de endereço IP privados disponíveis estão nas gamas classe A (10.0.0.0/8), classe B (172.16.0.0/12) e classe C (192.168.0.0/16).The private IP address spaces available are in the Class A (10.0.0.0/8), Class B (172.16.0.0/12), and Class C (192.168.0.0/16) ranges.

As melhores práticas para segmentar logicamente sub-redes incluem:Best practices for logically segmenting subnets include:

Melhores práticas : Não atribua regras de permitir com amplas gamas (por exemplo, permitir 0.0.0.0 a 255.255.255.255.255).Best practice : Don't assign allow rules with broad ranges (for example, allow 0.0.0.0 through 255.255.255.255).
Pormenor: Assegurar que os procedimentos de resolução de problemas desencorajam ou proíbem a criação deste tipo de regras.Detail : Ensure troubleshooting procedures discourage or ban setting up these types of rules. Estas regras permitem que as regras conduzam a uma falsa sensação de segurança e são frequentemente encontradas e exploradas por equipas vermelhas.These allow rules lead to a false sense of security and are frequently found and exploited by red teams.

Melhores práticas : Segmentar o espaço de endereço maior em sub-redes.Best practice : Segment the larger address space into subnets.
Detalhe : Utilize princípios de sub-rede baseados em CIDRpara criar as suas sub-redes.Detail : Use CIDR-based subnetting principles to create your subnets.

Melhores práticas : Criar controlos de acesso à rede entre sub-redes.Best practice : Create network access controls between subnets. O encaminhamento entre sub-redes acontece automaticamente e não é necessário configurar manualmente as tabelas de encaminhamento.Routing between subnets happens automatically, and you don't need to manually configure routing tables. Por predefinição, não existem controlos de acesso à rede entre as sub-redes que cria numa rede virtual Azure.By default, there are no network access controls between the subnets that you create on an Azure virtual network.
Detalhe : Utilize um grupo de segurança de rede para proteger contra o tráfego não solicitado nas sub-redes Azure.Detail : Use a network security group to protect against unsolicited traffic into Azure subnets. Os grupos de segurança da rede são simples e imponentes dispositivos de inspeção de pacotes que utilizam a abordagem de 5 tuple (fonte IP, porta de origem, porto de destino, porta de destino e protocolo de camada 4) para criar regras de permitir/negar para o tráfego de rede.Network security groups are simple, stateful packet inspection devices that use the 5-tuple approach (source IP, source port, destination IP, destination port, and layer 4 protocol) to create allow/deny rules for network traffic. Você permite ou nega tráfego de e para um único endereço IP, de e para vários endereços IP, ou de e para sub-redes inteiras.You allow or deny traffic to and from a single IP address, to and from multiple IP addresses, or to and from entire subnets.

Quando utiliza grupos de segurança de rede para controlo de acesso à rede entre sub-redes, pode colocar recursos que pertencem à mesma zona de segurança ou papel nas suas próprias sub-redes.When you use network security groups for network access control between subnets, you can put resources that belong to the same security zone or role in their own subnets.

Melhores práticas : Evite pequenas redes virtuais e sub-redes para garantir a simplicidade e flexibilidade.Best practice : Avoid small virtual networks and subnets to ensure simplicity and flexibility.
Detalhe : A maioria das organizações adiciona mais recursos do que inicialmente previsto, e a reafectação de endereços é intensiva em termos de mão de obra.Detail : Most organizations add more resources than initially planned, and re-allocating addresses is labor intensive. A utilização de pequenas sub-redes adiciona um valor de segurança limitado e o mapeamento de um grupo de segurança de rede a cada sub-rede adiciona sobrecarga.Using small subnets adds limited security value, and mapping a network security group to each subnet adds overhead. Defina sub-redes em geral para garantir que tem flexibilidade para o crescimento.Define subnets broadly to ensure that you have flexibility for growth.

Boas práticas : Simplificar a gestão das regras do grupo de segurança da rede definindo grupos de segurança de aplicações.Best practice : Simplify network security group rule management by defining Application Security Groups.
Detalhe : Defina um Grupo de Segurança de Aplicações para listas de endereços IP que pensa poderem mudar no futuro ou ser utilizados em muitos grupos de segurança de rede.Detail : Define an Application Security Group for lists of IP addresses that you think might change in the future or be used across many network security groups. Certifique-se de nomear os Grupos de Segurança da Aplicação claramente para que outros possam entender o seu conteúdo e propósito.Be sure to name Application Security Groups clearly so others can understand their content and purpose.

Adotar uma abordagem Zero TrustAdopt a Zero Trust approach

As redes baseadas em perímetros operam partindo do pressuposto de que todos os sistemas dentro de uma rede podem ser confiáveis.Perimeter-based networks operate on the assumption that all systems within a network can be trusted. Mas os colaboradores de hoje acedem aos recursos da sua organização a partir de qualquer lugar em uma variedade de dispositivos e aplicações, o que torna os controlos de segurança do perímetro irrelevantes.But today's employees access their organization's resources from anywhere on a variety of devices and apps, which makes perimeter security controls irrelevant. As políticas de controlo de acesso que se concentram apenas em quem pode aceder a um recurso não são suficientes.Access control policies that focus only on who can access a resource are not enough. Para dominar o equilíbrio entre segurança e produtividade, os administradores de segurança também precisam de ter em conta a forma como um recurso está a ser acedido.To master the balance between security and productivity, security admins also need to factor in how a resource is being accessed.

As redes precisam de evoluir a partir das defesas tradicionais porque as redes podem ser vulneráveis a violações: um intruso pode comprometer um único ponto final dentro da fronteira de confiança e, em seguida, expandir rapidamente uma posição de pé em toda a rede.Networks need to evolve from traditional defenses because networks might be vulnerable to breaches: an attacker can compromise a single endpoint within the trusted boundary and then quickly expand a foothold across the entire network. As redes Zero Trust eliminam o conceito de confiança baseado na localização da rede dentro de um perímetro.Zero Trust networks eliminate the concept of trust based on network location within a perimeter. Em vez disso, as arquiteturas Zero Trust usam dispositivos e a confiança do utilizador alega para gate access a dados e recursos organizacionais.Instead, Zero Trust architectures use device and user trust claims to gate access to organizational data and resources. Para novas iniciativas, adote abordagens da Zero Trust que validem a confiança no momento do acesso.For new initiatives, adopt Zero Trust approaches that validate trust at the time of access.

As melhores práticas são:Best practices are:

Melhores práticas : Dar Acesso Condicional aos recursos com base no dispositivo, identidade, garantia, localização da rede e muito mais.Best practice : Give Conditional Access to resources based on device, identity, assurance, network location, and more.
Detalhe : O Acesso Condicionado AZURE AD permite-lhe aplicar os controlos de acesso certos implementando decisões automatizadas de controlo de acesso com base nas condições exigidas.Detail : Azure AD Conditional Access lets you apply the right access controls by implementing automated access control decisions based on the required conditions. Para mais informações, consulte Gerir o acesso à gestão do Azure com Acesso Condicional.For more information, see Manage access to Azure management with Conditional Access.

Melhores práticas : Permitir o acesso à porta apenas após a aprovação do fluxo de trabalho.Best practice : Enable port access only after workflow approval.
Detalhe : Pode utilizar o acesso VM just-in-time no Azure Security Center para bloquear o tráfego de entrada nos seus VMs Azure, reduzindo a exposição a ataques, proporcionando fácil acesso à ligação aos VM quando necessário.Detail : You can use just-in-time VM access in Azure Security Center to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed.

Boas práticas : Conceda permissões temporárias para executar tarefas privilegiadas, o que impede que utilizadores maliciosos ou não autorizados tenham acesso após o termo das permissões.Best practice : Grant temporary permissions to perform privileged tasks, which prevents malicious or unauthorized users from gaining access after the permissions have expired. O acesso só é concedido quando os utilizadores precisam.Access is granted only when users need it.
Detalhe : Utilize acesso just-in-time na Gestão de Identidade Privilegiada Azure AD ou numa solução de terceiros para conceder permissões para executar tarefas privilegiadas.Detail : Use just-in-time access in Azure AD Privileged Identity Management or in a third-party solution to grant permissions to perform privileged tasks.

Zero Trust é a próxima evolução na segurança da rede.Zero Trust is the next evolution in network security. O estado dos ciberataques leva as organizações a assumirem a mentalidade de "assumir a violação", mas esta abordagem não deve ser limitada.The state of cyberattacks drives organizations to take the "assume breach" mindset, but this approach shouldn't be limiting. As redes Zero Trust protegem os dados e recursos corporativos, garantindo ao mesmo tempo que as organizações podem construir um local de trabalho moderno, utilizando tecnologias que capacitam os colaboradores a serem produtivos a qualquer momento, em qualquer lugar, de qualquer forma.Zero Trust networks protect corporate data and resources while ensuring that organizations can build a modern workplace by using technologies that empower employees to be productive anytime, anywhere, in any way.

Controlo do comportamento do encaminhamentoControl routing behavior

Quando coloca uma máquina virtual numa rede virtual Azure, o VM pode ligar-se a qualquer outro VM na mesma rede virtual, mesmo que os outros VM estejam em sub-redes diferentes.When you put a virtual machine on an Azure virtual network, the VM can connect to any other VM on the same virtual network, even if the other VMs are on different subnets. Isto é possível porque uma recolha de rotas do sistema ativadas por padrão permite este tipo de comunicação.This is possible because a collection of system routes enabled by default allows this type of communication. Estas rotas predefinidos permitem que os VMs na mesma rede virtual iniciem ligações entre si e com a internet (apenas para comunicações de saída para a internet).These default routes allow VMs on the same virtual network to initiate connections with each other, and with the internet (for outbound communications to the internet only).

Embora as rotas do sistema predefinidos sejam úteis para muitos cenários de implementação, existem momentos em que pretende personalizar a configuração de encaminhamento para as suas implementações.Although the default system routes are useful for many deployment scenarios, there are times when you want to customize the routing configuration for your deployments. Você pode configurar o endereço de próximo lúpulo para chegar a destinos específicos.You can configure the next-hop address to reach specific destinations.

Recomendamos que configuure rotas definidas pelo utilizador quando implementar um aparelho de segurança para uma rede virtual.We recommend that you configure user-defined routes when you deploy a security appliance for a virtual network. Falamos sobre isso numa secção posterior intitulada garantir os seus recursos críticos de serviço Azure apenas às suas redes virtuais.We talk about this in a later section titled secure your critical Azure service resources to only your virtual networks.

Nota

As rotas definidas pelo utilizador não são necessárias e as rotas do sistema predefinidas geralmente funcionam.User-defined routes are not required, and the default system routes usually work.

Utilize aparelhos de rede virtuaisUse virtual network appliances

Os grupos de segurança da rede e o encaminhamento definido pelo utilizador podem fornecer uma certa medida de segurança da rede na rede e camadas de transporte do modelo OSI.Network security groups and user-defined routing can provide a certain measure of network security at the network and transport layers of the OSI model. Mas em algumas situações, você quer ou precisa permitir a segurança em altos níveis da pilha.But in some situations, you want or need to enable security at high levels of the stack. Nestas situações, recomendamos que implemente aparelhos de segurança de rede virtuais fornecidos pelos parceiros Azure.In such situations, we recommend that you deploy virtual network security appliances provided by Azure partners.

Os aparelhos de segurança da rede Azure podem proporcionar uma melhor segurança do que os controlos de nível de rede.Azure network security appliances can deliver better security than what network-level controls provide. As capacidades de segurança da rede de aparelhos de segurança de rede virtuais incluem:Network security capabilities of virtual network security appliances include:

  • FirewallingFirewalling
  • Deteção/prevenção de intrusõesIntrusion detection/intrusion prevention
  • Gestão de vulnerabilidadesVulnerability management
  • Controlo de aplicaçõesApplication control
  • Deteção de anomalias baseadas em redeNetwork-based anomaly detection
  • Filtragem WebWeb filtering
  • AntivírusAntivirus
  • Proteção botnetBotnet protection

Para encontrar aparelhos de segurança de rede virtuais Azure disponíveis, vá ao Azure Marketplace e procure por "segurança" e "segurança na rede".To find available Azure virtual network security appliances, go to the Azure Marketplace and search for "security" and "network security."

Implementar redes de perímetro para zonas de segurançaDeploy perimeter networks for security zones

Uma rede de perímetro (também conhecida como DMZ) é um segmento de rede físico ou lógico que fornece uma camada adicional de segurança entre os seus ativos e a internet.A perimeter network (also known as a DMZ) is a physical or logical network segment that provides an additional layer of security between your assets and the internet. Os dispositivos especializados de controlo de acesso à rede na borda de uma rede de perímetro permitem apenas o tráfego desejado na sua rede virtual.Specialized network access control devices on the edge of a perimeter network allow only desired traffic into your virtual network.

As redes de perímetro são úteis porque pode concentrar a gestão do controlo de acesso à rede, monitorização, registo e reporte nos dispositivos na borda da sua rede virtual Azure.Perimeter networks are useful because you can focus your network access control management, monitoring, logging, and reporting on the devices at the edge of your Azure virtual network. Uma rede de perímetro é onde normalmente permite a prevenção de negação de serviço distribuída (DDoS), sistemas de deteção/prevenção de intrusões (IDS/IPS), regras e políticas de firewall, filtragem web, antimalware de rede, e muito mais.A perimeter network is where you typically enable distributed denial of service (DDoS) prevention, intrusion detection/intrusion prevention systems (IDS/IPS), firewall rules and policies, web filtering, network antimalware, and more. Os dispositivos de segurança da rede situam-se entre a internet e a sua rede virtual Azure e têm uma interface em ambas as redes.The network security devices sit between the internet and your Azure virtual network and have an interface on both networks.

Embora este seja o design básico de uma rede de perímetro, existem muitos projetos diferentes, como back-to-back, tri-homed, e multi-homed.Although this is the basic design of a perimeter network, there are many different designs, like back-to-back, tri-homed, and multi-homed.

Com base no conceito Zero Trust mencionado anteriormente, recomendamos que considere a utilização de uma rede de perímetro para todas as implementações de alta segurança para aumentar o nível de segurança da rede e o controlo de acesso para os seus recursos Azure.Based on the Zero Trust concept mentioned earlier, we recommend that you consider using a perimeter network for all high security deployments to enhance the level of network security and access control for your Azure resources. Pode utilizar o Azure ou uma solução de terceiros para fornecer uma camada adicional de segurança entre os seus ativos e a internet:You can use Azure or a third-party solution to provide an additional layer of security between your assets and the internet:

  • Controlos nativos de Azure.Azure native controls. O Azure Firewall e a firewall da aplicação web em Application Gateway oferecem segurança básica com uma firewall totalmente declarada como um serviço, alta disponibilidade incorporada, escalabilidade de nuvem sem restrições, filtragem FQDN, suporte para conjuntos de regras centrais OWASP, e configuração e configuração simples.Azure Firewall and the web application firewall in Application Gateway offer basic security with a fully stateful firewall as a service, built-in high availability, unrestricted cloud scalability, FQDN filtering, support for OWASP core rule sets, and simple setup and configuration.
  • Ofertas de terceiros.Third-party offerings. Procure no Mercado Azure para firewall de próxima geração (NGFW) e outras ofertas de terceiros que fornecem ferramentas de segurança familiares e níveis significativamente melhorados de segurança da rede.Search the Azure Marketplace for next-generation firewall (NGFW) and other third-party offerings that provide familiar security tools and significantly enhanced levels of network security. A configuração pode ser mais complexa, mas uma oferta de terceiros pode permitir-lhe usar as capacidades e habilidades existentes.Configuration might be more complex, but a third-party offering might allow you to use existing capabilities and skillsets.

Muitas organizações escolheram a rota híbrida de TI.Many organizations have chosen the hybrid IT route. Com ti híbrido, alguns dos ativos de informação da empresa estão em Azure, e outros permanecem no local.With hybrid IT, some of the company's information assets are in Azure, and others remain on-premises. Em muitos casos, alguns componentes de um serviço estão a funcionar em Azure enquanto outros componentes permanecem no local.In many cases, some components of a service are running in Azure while other components remain on-premises.

Num cenário de TI híbrido, existe geralmente algum tipo de conectividade transversal.In a hybrid IT scenario, there is usually some type of cross-premises connectivity. A conectividade transversal permite à empresa ligar as suas redes no local às redes virtuais Azure.Cross-premises connectivity allows the company to connect its on-premises networks to Azure virtual networks. Estão disponíveis duas soluções de conectividade transversal:Two cross-premises connectivity solutions are available:

  • VPN local- local.Site-to-site VPN. É uma tecnologia confiável, fiável e estabelecida, mas a ligação ocorre através da internet.It's a trusted, reliable, and established technology, but the connection takes place over the internet. A largura de banda está limitada a um máximo de cerca de 1,25 Gbps.Bandwidth is constrained to a maximum of about 1.25 Gbps. A VPN local-a-local é uma opção desejável em alguns cenários.Site-to-site VPN is a desirable option in some scenarios.
  • Azure ExpressRoute.Azure ExpressRoute. Recomendamos que utilize o ExpressRoute para a conectividade das suas instalações cruzadas.We recommend that you use ExpressRoute for your cross-premises connectivity. O ExpressRoute permite-lhe expandir as redes no local para a Microsoft Cloud através de uma ligação privada facilitada por um fornecedor de conectividade.ExpressRoute lets you extend your on-premises networks into the Microsoft cloud over a private connection facilitated by a connectivity provider. Com o ExpressRoute, pode estabelecer ligações a serviços na nuvem da Microsoft como a Azure, Microsoft 365 e Dynamics 365.With ExpressRoute, you can establish connections to Microsoft cloud services like Azure, Microsoft 365, and Dynamics 365. ExpressRoute é uma ligação WAN dedicada entre a sua localização no local ou um fornecedor de hospedagem microsoft Exchange.ExpressRoute is a dedicated WAN link between your on-premises location or a Microsoft Exchange hosting provider. Como esta é uma ligação telco, os seus dados não viajam pela internet, por isso não está exposto aos riscos potenciais das comunicações na Internet.Because this is a telco connection, your data doesn't travel over the internet, so it isn't exposed to the potential risks of internet communications.

A localização da sua ligação ExpressRoute pode afetar a capacidade de firewall, escalabilidade, fiabilidade e visibilidade do tráfego de rede.The location of your ExpressRoute connection can affect firewall capacity, scalability, reliability, and network traffic visibility. Terá de identificar onde terminar o ExpressRoute nas redes existentes (no local).You'll need to identify where to terminate ExpressRoute in existing (on-premises) networks. Pode:You can:

  • Termine fora da firewall (o paradigma da rede de perímetro) se necessitar de visibilidade no tráfego, se precisar de continuar uma prática existente de isolar centros de dados, ou se estiver apenas a colocar recursos extranet no Azure.Terminate outside the firewall (the perimeter network paradigm) if you require visibility into the traffic, if you need to continue an existing practice of isolating datacenters, or if you're solely putting extranet resources on Azure.
  • Terminar dentro da firewall (o paradigma de extensão da rede).Terminate inside the firewall (the network extension paradigm). Esta é a recomendação por defeito.This is the default recommendation. Em todos os outros casos, recomendamos tratar o Azure como um centro de dados nº.In all other cases, we recommend treating Azure as an nth datacenter.

Otimizar o tempo e o desempenhoOptimize uptime and performance

Se um serviço estiver em baixo, a informação não pode ser acedida.If a service is down, information can't be accessed. Se o desempenho for tão fraco que os dados não forem utilizáveis, pode considerar os dados inacessíveis.If performance is so poor that the data is unusable, you can consider the data to be inaccessible. Do ponto de vista da segurança, você precisa fazer tudo o que puder para garantir que os seus serviços têm o melhor tempo de tempo e desempenho.From a security perspective, you need to do whatever you can to make sure that your services have optimal uptime and performance.

Um método popular e eficaz para melhorar a disponibilidade e o desempenho é o equilíbrio de carga.A popular and effective method for enhancing availability and performance is load balancing. O equilíbrio de carga é um método de distribuição do tráfego de rede através de servidores que fazem parte de um serviço.Load balancing is a method of distributing network traffic across servers that are part of a service. Por exemplo, se tiver servidores web front-end como parte do seu serviço, pode utilizar o equilíbrio de carga para distribuir o tráfego através dos seus múltiplos servidores web frontais.For example, if you have front-end web servers as part of your service, you can use load balancing to distribute the traffic across your multiple front-end web servers.

Esta distribuição de tráfego aumenta a disponibilidade porque se um dos servidores da Web ficar indisponível, o balanceador de carga para de enviar tráfego para esse servidor e redireciona-o para os servidores que ainda estão online.This distribution of traffic increases availability because if one of the web servers becomes unavailable, the load balancer stops sending traffic to that server and redirects it to the servers that are still online. O equilíbrio de carga também ajuda o desempenho, porque o processador, a rede e a despesa de memória para servir pedidos é distribuído por todos os servidores equilibrados de carga.Load balancing also helps performance, because the processor, network, and memory overhead for serving requests is distributed across all the load-balanced servers.

Recomendamos que utilize o equilíbrio de carga sempre que puder e, conforme apropriado para os seus serviços.We recommend that you employ load balancing whenever you can, and as appropriate for your services. Seguem-se cenários tanto a nível da rede virtual Azure como a nível global, juntamente com opções de equilíbrio de carga para cada um.Following are scenarios at both the Azure virtual network level and the global level, along with load-balancing options for each.

Cenário : Tem uma aplicação que:Scenario : You have an application that:

  • Requer pedidos da mesma sessão utilizador/cliente para chegar à mesma máquina virtual de back-end.Requires requests from the same user/client session to reach the same back-end virtual machine. Exemplos disso são aplicações de carrinhos de compras e servidores de correio web.Examples of this are shopping cart apps and web mail servers.
  • Aceita apenas uma ligação segura, por isso a comunicação não encriptada para o servidor não é uma opção aceitável.Accepts only a secure connection, so unencrypted communication to the server is not an acceptable option.
  • Requer vários pedidos HTTP na mesma ligação TCP de longa duração para ser encaminhado ou carregado equilibrado para diferentes servidores de back-end.Requires multiple HTTP requests on the same long-running TCP connection to be routed or load balanced to different back-end servers.

Opção de equilíbrio de cargas : Utilize o Azure Application Gateway, um equilibrador de carga de tráfego web HTTP.Load-balancing option : Use Azure Application Gateway, an HTTP web traffic load balancer. O Application Gateway suporta encriptação TLS de ponta a ponta e a terminação TLS no gateway.Application Gateway supports end-to-end TLS encryption and TLS termination at the gateway. Os servidores web podem então ser descarregados da encriptação e desencriptação e o tráfego fluindo desencriptado para os servidores de back-end.Web servers can then be unburdened from encryption and decryption overhead and traffic flowing unencrypted to the back-end servers.

Cenário : É necessário carregar as ligações de entrada de equilíbrio a partir da internet entre os seus servidores localizados numa rede virtual Azure.Scenario : You need to load balance incoming connections from the internet among your servers located in an Azure virtual network. Os cenários são quando:Scenarios are when you:

  • Ter aplicações apátridas que aceitam pedidos de entrada da internet.Have stateless applications that accept incoming requests from the internet.
  • Não requer sessões pegajosas ou descarga de TLS.Don't require sticky sessions or TLS offload. Sessões pegajosas é um método usado com o Equilíbrio de Carga de Aplicação, para alcançar a afinidade do servidor.Sticky sessions is a method used with Application Load Balancing, to achieve server-affinity.

Opção de equilíbrio de cargas : Utilize o portal Azure para criar um balanceador de carga externo que difunde pedidos de entrada em vários VMs para proporcionar um nível de disponibilidade mais elevado.Load-balancing option : Use the Azure portal to create an external load balancer that spreads incoming requests across multiple VMs to provide a higher level of availability.

Cenário : É necessário carregar ligações de equilíbrio a partir de VMs que não estejam na internet.Scenario : You need to load balance connections from VMs that are not on the internet. Na maioria dos casos, as ligações que são aceites para o equilíbrio de carga são iniciadas por dispositivos numa rede virtual Azure, tais como casos de SQL Server ou servidores web internos.In most cases, the connections that are accepted for load balancing are initiated by devices on an Azure virtual network, such as SQL Server instances or internal web servers.
Opção de equilíbrio de cargas : Utilize o portal Azure para criar um equilibrador de carga interno que difunde pedidos de entrada em vários VMs para proporcionar um nível de disponibilidade mais elevado.Load-balancing option : Use the Azure portal to create an internal load balancer that spreads incoming requests across multiple VMs to provide a higher level of availability.

Cenário : Precisa de um equilíbrio global da carga porque:Scenario : You need global load balancing because you:

  • Tenha uma solução de nuvem que é amplamente distribuída por várias regiões e requer o mais alto nível de uptime (disponibilidade) possível.Have a cloud solution that is widely distributed across multiple regions and requires the highest level of uptime (availability) possible.
  • Precisa do mais alto nível possível de tempo para se certificar de que o seu serviço está disponível mesmo que todo um datacenter fique indisponível.Need the highest level of uptime possible to make sure that your service is available even if an entire datacenter becomes unavailable.

Opção de equilíbrio de carga : Utilize o Gestor de Tráfego Azure.Load-balancing option : Use Azure Traffic Manager. O Gestor de Tráfego permite carregar as ligações de equilíbrio aos seus serviços com base na localização do utilizador.Traffic Manager makes it possible to load balance connections to your services based on the location of the user.

Por exemplo, se o utilizador fizer um pedido ao seu serviço junto da UE, a ligação é direcionada para os seus serviços localizados num datacenter da UE.For example, if the user makes a request to your service from the EU, the connection is directed to your services located in an EU datacenter. Esta parte do equilíbrio global de carga do Traffic Manager ajuda a melhorar o desempenho porque a ligação ao datacenter mais próximo é mais rápida do que ligar-se aos datacenters que estão longe.This part of Traffic Manager global load balancing helps to improve performance because connecting to the nearest datacenter is faster than connecting to datacenters that are far away.

Desativar o acesso de RDP/SSH a máquinas virtuaisDisable RDP/SSH Access to virtual machines

É possível chegar a máquinas virtuais Azure utilizando o Protocolo de Ambiente de Trabalho Remoto (RDP) e o protocolo Secure Shell (SSH).It's possible to reach Azure virtual machines by using Remote Desktop Protocol (RDP) and the Secure Shell (SSH) protocol. Estes protocolos ativam as VMs de gestão a partir de localizações remotas e são o padrão na computação de datacenters.These protocols enable the management VMs from remote locations and are standard in datacenter computing.

O potencial problema de segurança com a utilização destes protocolos através da internet é que os atacantes podem usar técnicas de força bruta para ter acesso a máquinas virtuais Azure.The potential security problem with using these protocols over the internet is that attackers can use brute force techniques to gain access to Azure virtual machines. Após os atacantes obterem acesso, podem utilizar a VM como um ponto de partida para comprometer outros computadores na rede virtual ou até mesmo atacar dispositivos em redes fora do Azure.After the attackers gain access, they can use your VM as a launch point for compromising other machines on your virtual network or even attack networked devices outside Azure.

Recomendamos que desative o acesso direto de RDP e SSH às suas máquinas virtuais Azure a partir da internet.We recommend that you disable direct RDP and SSH access to your Azure virtual machines from the internet. Depois de o acesso direto de RDP e SSH a partir da internet ser desativado, tem outras opções que pode utilizar para aceder a estes VMs para gestão remota.After direct RDP and SSH access from the internet is disabled, you have other options that you can use to access these VMs for remote management.

Cenário : Permitir que um único utilizador se conecte a uma rede virtual Azure através da internet.Scenario : Enable a single user to connect to an Azure virtual network over the internet.
Opção : VPN ponto-a-local é outro termo para uma ligação cliente/servidor VPN de acesso remoto.Option : Point-to-site VPN is another term for a remote access VPN client/server connection. Após a ligação ponto-a-local, o utilizador pode utilizar RDP ou SSH para ligar a quaisquer VMs localizados na rede virtual Azure a que o utilizador ligou através de VPN ponto-a-local.After the point-to-site connection is established, the user can use RDP or SSH to connect to any VMs located on the Azure virtual network that the user connected to via point-to-site VPN. Isto pressupõe que o utilizador está autorizado a chegar a esses VMs.This assumes that the user is authorized to reach those VMs.

A VPN ponto-a-local é mais segura do que as ligações RDP ou SSH diretas porque o utilizador tem de autenticar duas vezes antes de ligar a um VM.Point-to-site VPN is more secure than direct RDP or SSH connections because the user has to authenticate twice before connecting to a VM. Em primeiro lugar, o utilizador precisa de autenticar (e ser autorizado) para estabelecer a ligação VPN ponto a local.First, the user needs to authenticate (and be authorized) to establish the point-to-site VPN connection. Em segundo lugar, o utilizador precisa de autenticar (e ser autorizado) para estabelecer a sessão RDP ou SSH.Second, the user needs to authenticate (and be authorized) to establish the RDP or SSH session.

Cenário : Permitir que os utilizadores da sua rede no local se conectem a VMs na sua rede virtual Azure.Scenario : Enable users on your on-premises network to connect to VMs on your Azure virtual network.
Opção : Uma VPN site-to-site liga toda uma rede a outra rede através da internet.Option : A site-to-site VPN connects an entire network to another network over the internet. Pode utilizar uma VPN site-to-site para ligar a sua rede no local a uma rede virtual Azure.You can use a site-to-site VPN to connect your on-premises network to an Azure virtual network. Os utilizadores na sua rede no local ligam-se utilizando o protocolo RDP ou SSH sobre a ligação VPN site-to-site.Users on your on-premises network connect by using the RDP or SSH protocol over the site-to-site VPN connection. Não é preciso permitir o acesso direto do RDP ou do SSH através da internet.You don't have to allow direct RDP or SSH access over the internet.

Cenário : Utilize uma ligação WAN dedicada para fornecer funcionalidades semelhantes à VPN site-to-site.Scenario : Use a dedicated WAN link to provide functionality similar to the site-to-site VPN.
Opção : Use ExpressRoute.Option : Use ExpressRoute. Fornece funcionalidades semelhantes à VPN site-to-site.It provides functionality similar to the site-to-site VPN. As principais diferenças são:The main differences are:

  • A ligação dedicada wan não atravessa a internet.The dedicated WAN link doesn't traverse the internet.
  • As ligações WAN dedicadas são tipicamente mais estáveis e têm um melhor desempenho.Dedicated WAN links are typically more stable and perform better.

Proteja os seus recursos críticos de serviço Azure apenas para as suas redes virtuaisSecure your critical Azure service resources to only your virtual networks

Utilize pontos finais de serviço de rede virtual para estender o espaço de endereço privado da sua rede virtual e a identidade da sua rede virtual para os serviços Azure, através de uma ligação direta.Use virtual network service endpoints to extend your virtual network private address space, and the identity of your virtual network to the Azure services, over a direct connection. Os pontos finais permitem-lhe obter os seus recursos críticos de serviço do Azure apenas para as suas redes virtuais.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. O tráfego da sua rede virtual para o serviço Azure permanece sempre na rede de espinha dorsal do Microsoft Azure.Traffic from your virtual network to the Azure service always remains on the Microsoft Azure backbone network.

Os pontos finais de serviço oferecem as seguintes vantagens:Service endpoints provide the following benefits:

  • Segurança dos recursos de serviço do Azure melhorada : com os pontos finais de serviço, pode proteger os recursos de serviço do Azure na rede virtual.Improved security for your Azure service resources : With service endpoints, Azure service resources can be secured to your virtual network. A proteção dos recursos de serviço numa rede virtual oferece segurança melhorada ao remover totalmente o acesso de Internet pública a estes recursos e ao permitir o tráfego apenas a partir da rede virtual.Securing service resources to a virtual network provides improved security by fully removing public internet access to resources, and allowing traffic only from your virtual network.

  • O roteiro ideal para o tráfego de serviçoS Azure da sua rede virtual : Quaisquer rotas da sua rede virtual que forcem o tráfego de internet para os seus aparelhos no local e/ou aparelhos virtuais, conhecidos como túneis forçados, também forçam o tráfego de serviço Azure a tomar a mesma rota que o tráfego da internet.Optimal routing for Azure service traffic from your virtual network : Any routes in your virtual network that force internet traffic to your on-premises and/or virtual appliances, known as forced tunneling, also force Azure service traffic to take the same route as the internet traffic. Os pontos finais de serviço fornecem encaminhamento ótimo para o tráfego do Azure.Service endpoints provide optimal routing for Azure traffic.

    Os pontos finais levam sempre o tráfego de serviço diretamente da sua rede virtual para o serviço na rede de espinha dorsal Azure.Endpoints always take service traffic directly from your virtual network to the service on the Azure backbone network. Manter o tráfego na rede de espinha dorsal Azure permite-lhe continuar a auditar e monitorizar o tráfego de internet de saída a partir das suas redes virtuais, através de túneis forçados, sem afetar o tráfego de serviços.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound internet traffic from your virtual networks, through forced tunneling, without affecting service traffic. Saiba mais sobre rotas definidas pelo utilizador e túneis forçados.Learn more about user-defined routes and forced tunneling.

  • Simples de configurar com menos gestão : Já não precisa de endereços IP públicos reservados nas suas redes virtuais para garantir os recursos do Azure através de uma firewall IP.Simple to set up with less management overhead : You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through an IP firewall. Não são necessários dispositivos NAT ou de gateway para configurar os pontos finais de serviço.There are no NAT or gateway devices required to set up the service endpoints. Basta um clique numa sub-rede para configurar os pontos finais de serviço.Service endpoints are configured through a simple click on a subnet. Não há despesas adicionais para manter os pontos finais.There is no additional overhead to maintain the endpoints.

Para saber mais sobre os pontos finais de serviço e os serviços e regiões Azure para os quais os pontos finais de serviço estão disponíveis, consulte os pontos finais do serviço de rede Virtual.To learn more about service endpoints and the Azure services and regions that service endpoints are available for, see Virtual network service endpoints.

Passos seguintesNext steps

Consulte as melhores práticas e padrões de segurança da Azure para obter mais boas práticas de segurança quando estiver a desenhar, implementar e gerir as suas soluções em nuvem utilizando o Azure.See Azure security best practices and patterns for more security best practices to use when you're designing, deploying, and managing your cloud solutions by using Azure.